編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

SSL/TLS脆弱性「FREAK」--管理者とユーザーの当面の対策は - (page 2)

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 川村インターナショナル

2015-03-11 06:00

 まず、Windows Server 2003やWindows XPを使っている場合は問題がある。XPでは、特別な契約を結んでない限り、もうサポートを受けられず、Windows Server 2003のサポートも7月に終了する。新しいバージョンのWindowsに乗り換えるべき時期はとっくに過ぎている。早く移行に取りかかろう。

 次に、(上述のWindows Server 2003や)Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、Windows RT 8.1、Server Coreインストール オプションを使っている人は、Microsoftが米国時間3月10日、Schannelの脆弱性を修正するパッチを公開している。影響を受けるソフトウェアを利用している場合はこの更新プログラムを適用しよう。

 LinuxサーバやBSDサーバについては、最新バージョンのOpenSSLLibReSSLに即刻アップデートすべきだ。

 それが終わったら、「Server Side TLS」のセットアップ方法に関するMozillaのガイドに従うようお勧めする。特に、推奨構成「Intermediate」を採用すべきだ。「Modern」構成を採用した場合、皆さんのウェブサイトにWindows XPや「Android 2.3」でアクセスしようとするユーザーが、安全に接続できなくなる。

 Mozillaはウェブサイト管理者に対し、オープンソースの「Nginx」ウェブサーバを使うよう推奨している。Mozillaはその理由を次のように書いている。「Nginxは現時点で最高のTLSサポートを提供する。『OCSP Stapling』、カスタムDHパラメータ、OpenSSLのすべてのTLSバージョンを提供する唯一のデーモンである」。筆者もMozillaの推奨事項に賛成だ。

 Apache、Nginx、「HAProxy」をセットアップして、FREAKに適切に対処する最も簡単な方法は、「Mozilla SSL Configuration Generator」を使うことだ。このウェブプログラムは、ウェブサーバの設定ファイルに必要なコードを生成する。ぜひともお勧めしたい。

 サーバのセットアップが完了したら、使用しているOSやウェブサーバの種類に関係なく、Qualys SSL Labsの「SSL Server Test」ツールで設定をチェックしよう。このプログラムは、SSLに関連するさまざまな問題を調べてくれる。

 今注意すべきは、FREAK攻撃を受ける可能性だ。使っているウェブサーバで脆弱な暗号スイートがまだサポートされている場合は、やるべきことは他にもある。サーバが「TLS_FALLBACK_SCSV」をサポートしているなら、これもFREAK攻撃から守ってくれるだろう。

 エンドユーザーにとって、現在のところ安全を確保する最も簡単な方法は、ChromeかFirefoxの最新バージョンを使ってウェブブラウジングをすることだ。近日中にすべてのブラウザに修正がリリースされる見通しだが、IDやパスワードが盗まれるリスクを冒す必要はない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]